เก็บข่าวมาเล่า… | lekasina.com

เขียนโดย นายเสฏฐวุฒิ แสนนาม
ผู้ให้คำแนะนำคือนายสรณันท์ จิวะสุรัตน์ และนายพรพรหม ประภากิตติกุล
หน่วยงาน: สำนักงานพัฒนาธุรกรรมอิเล็กทรอนิกส์ (องค์กรมหาชน)

จาก เหตุการณ์น้ำท่วมที่ผ่านมา ส่งผลให้คอมพิวเตอร์ของหน่วยงาน สถานประกอบการ หรือบุคคลทั่วไป หลายแห่งจมอยู่ใต้น้ำ ซึ่งอาจมีข้อมูลที่สำคัญอยู่ในฮาร์ดดิสก์ และมีความจำเป็นต้องทำการกู้ข้อมูล (Data recovery) เพื่อให้สามารถดำเนินกิจการต่อไปได้โดยเร็วที่สุด แต่การกู้ข้อมูลนั้นมีหลายสิ่งที่ควรรู้และต้องคำนึงในการปฏิบัติ เพื่อไม่ให้เกิดความเสียหายต่อฮาร์ดดิสก์โดยไม่ตั้งใจ ดังนั้น การรู้จักการทำงานของฮาร์ดดิสก์ รูปแบบความเสียหาย วิธีการการแก้ไข และขั้นตอนการปฏิบัติในการกู้ข้อมูล ก็จะสามารถช่วยป้องกันความเสียหายและเพิ่มโอกาสในการกู้ข้อมูลกลับคืนมาได้

โครงสร้างการทำงานของฮาร์ดดิสก์
ปัจจุบัน มีการใช้งานฮาร์ดดิสก์อยู่ 2 แบบ คือแบบจานแม่เหล็ก และแบบ Solid-state (SSD)ซึ่งทั้ง 2 แบบมีโครงสร้างและการทำงานที่แตกต่างกันส่งผลให้มีความแตกต่างในเรื่องของการเก็บข้อมูลและการกู้ข้อมูลตามไปด้วย

ฮาร์ดดิสก์แบบจานแม่เหล็ก

ที่มา: http://en.wikipedia.org/wiki/Hard_drive

นิยม ใช้ในคอมพิวเตอร์ทั่วไป รวมถึงกล้องวีดีโอบางรุ่น เนื่องจากมีขนาดความจุค่อนข้างสูงและมีราคาที่ลดลงมาอยู่ในระดับที่ไม่สูง มากฮาร์ดดิสก์แบบแม่เหล็กจะใช้แผ่นจานโลหะเพื่อเก็บข้อมูล โดยมีมอเตอร์หมุนอยู่ภายใน และใช้หัวอ่านในการอ่านและเขียนข้อมูลลงในแผ่นจาน ในการอ่านหรือ เขียนข้อมูลจะใช้หลักการเปลี่ยนทิศทางของสนามแม่เหล็ก เพื่อเก็บข้อมูลในรูปแบบของเลขฐาน 2

ใน ขณะที่ฮาร์ดดิสก์ทำงาน หัวอ่านจะลอยอยู่เหนือแผ่นจานประมาณ 10 นาโนเมตร [2] (เส้นผมของมนุษย์มีเส้นผ่านศูนย์กลางเฉลี่ย 99 ไมโครเมตร) แผ่นจานจะหมุนด้วยความเร็วสูง ซึ่งในปัจจุบันมีความเร็วในการหมุนประมาณ 7200 – 10000 รอบต่อนาที (ประมาณ 270 กิโลเมตรต่อชั่วโมง) ดังนั้นหากฮาร์ดดิสก์มีการสั่นสะเทือนเกิดขึ้นในขณะที่หัวอ่านกำลังทำงานก็มีโอกาสสูงที่หัวอ่านจะไปขูดกับแผ่นจานแม่เหล็ก ซึ่งส่งผลให้ฮาร์ดดิสก์เสียหายอย่างถาวรได้

ฮาร์ดดิสก์แบบ Solid-state

ที่มา: http://en.wikipedia.org/wiki/Solid-state_drive

ฮาร์ดดิสก์ แบบ Solid-state ใช้หลักการเดียวกันกับอุปกรณ์เก็บข้อมูลแบบพกพา เช่น Flash drive ซึ่งเป็นอุปกรณ์เก็บข้อมูลรูปแบบใหม่ที่ไม่มีชิ้นส่วนที่เป็นการหมุนหรือหัวอ่านอยู่ภายใน โดยจะเปลี่ยนมาใช้การเก็บข้อมูลบน NAND Chip ซึ่งเป็นการอ่านและเขียนข้อมูลโดยใช้ไฟฟ้าส่งผลให้ฮาร์ดดิสก์แบบ Solid-state สามารถอ่านเขียนข้อมูลได้เร็วกว่าฮาร์ดดิสก์แบบจานแม่เหล็กแต่เนื่องจากมีราคาที่ค่อนข้างสูง และมีความจุน้อยกว่าฮาร์ดดิสก์แบบจานแม่เหล็ก จึงนิยมใช้ในอุปกรณ์ที่ต้องการการพกพาสะดวกและมีน้ำหนักเบา เช่น คอมพิวเตอร์โน้ตบุคแบบ Ultra-thin หรือโทรศัพท์มือถือบางรุ่น
ฮาร์ดดิสก์ แบบ Solid-state จะแบ่งพื้นที่ในการเก็บข้อมูลออกเป็นบล็อก (หรือ Cell)ซึ่งแต่ละ
บล็อกมีจำนวนครั้งในการเขียนหรือลบข้อมูลอยู่จำกัด ถ้าใช้ครบจำนวนครั้งที่กำหนดบล็อกนั้นจะไม่สามารถใช้งานได้อีก [4]
นอกจากนี้การเก็บข้อมูลจะไม่ได้เก็บแบบต่อเนื่องเหมือนฮาร์ดดิสก์แบบจานแม่ เหล็ก แต่จะใช้วิธี Logical mappingซึ่งเป็นการเชื่อมโยงข้อมูลที่เก็บอยู่จริงในหน่วยความจำให้เป็นไฟล์ข้อมูล สำหรับคอมพิวเตอร์ ซึ่งส่วนที่ทำหน้าที่ดังกล่าวเรียกว่า Controller

ความเสียหายที่อาจเกิดขึ้นได้กับ ฮาร์ดดิสก์
ความเสียหายทางการภาพ (Physical)
ความ เสียหายที่เกิดขึ้นกับฮาร์ดดิสก์แบบจานแม่เหล็กจะเกิดกับส่วนของจานแม่เหล็กที่ใช้สำหรับบันทึกข้อมูล
ไม่ว่าจะเป็นการอยู่ภายใต้สนามแม่เหล็กที่ความแรงสูงจนข้อมูลที่เก็บอยู่ผิด เพี้ยน หรือหัวอ่านกระแทกกับจานข้อมูล ทำให้เข้าถึงข้อมูลในส่วนนั้นไม่ได้ เป็นต้น
ซึ่งถึงแม้ว่าในขณะที่ปิดเครื่อง หัวอ่านของฮาร์ดดิสก์จะถูกเก็บให้ไปอยู่ในที่ที่ปลอดภัยแล้วก็ตามแต่การที่ฮาร์ดดิสก์ตกจากที่สูงก็มีโอกาสที่จะเกิดความเสียหายได้เช่นกัน หากหัวอ่านชำรุดแต่แผ่นจานแม่เหล็กยังสามารถใช้
งานได้อยู่ ก็ยังสามารถให้ผู้เชี่ยวชาญทำการถอดจานแม่เหล็กเพื่อนำไปอ่านข้อมูลออกมาใส่ในฮาร์ดดิสก์อื่นได้ แต่หากแผ่นจานแม่เหล็กชำรุดเสียหายโอกาสที่จะกู้ข้อมูลได้ก็น้อยลงไปด้วย [5] [6]
สำหรับ ฮาร์ดดิสก์แบบ Solid-state ถ้าส่วน Controller เสียหาย การกู้ข้อมูลจะทำได้ยากมากหรือแทบเป็นไปไม่ได้เลย เนื่องจากการกู้ข้อมูลต้องแกะเอา NAND Chip ออกมาคัดลอกข้อมูลแล้วนำชิ้นส่วนของข้อมูลที่ได้มาวิเคราะห์เพื่อสร้างตารางข้อมูลใหม่
นอกจากนี้วิธีการเก็บข้อมูลในฮาร์ดดิสก์แบบ Solid-state ยังแตกต่างกันออกไปตามวิธีการของผู้ผลิต
ปัจจุบันยังไม่มีซอฟต์แวร์ที่ใช้ในการกู้ข้อมูลในลักษณะนี้ จำเป็นต้องให้ผู้เชี่ยวชาญทำเท่านั้น [7] [8] [9] [10]
ใน ประเทศไทย มีบริษัทที่ให้บริการกู้ข้อมูลในฮาร์ดดิสก์ในกรณีที่เกิดความเสียหายทางกายภาพ เช่น ศูนย์กู้ข้อมูล IDR หรือ ศูนย์กู้ข้อมูล i-CU เป็นต้น ซึ่งค่าใช้จ่ายในการกู้ข้อมูลก็จะแตกต่างกันออกไปแล้วแต่กรณี อย่างไรก็ตาม ThaiCERT ไม่ได้มีส่วนเกี่ยวข้องกับผู้ให้บริการกู้ข้อมูลดังกล่าว

ความเสียหายทางตรรกะ (Logical)
เป็น ความเสียหายที่เกิดขึ้นจากการใช้งานซึ่งเกี่ยวข้องกับไฟล์หรือระบบโครงสร้างของการเก็บข้อมูล ไม่ว่าจะเป็น การเผลอลบข้อมูล การ Format ฮาร์ดดิสก์ หรือการเขียนข้อมูลทับซึ่งความเสียหายในส่วนนี้สามารถกู้คืนได้ด้วยซอฟต์แวร์
โดยปัจจุบันมีซอฟต์แวร์ที่ใช้สำหรับกู้ข้อมูลอยู่จำนวนมาก ผู้ใช้สามารถดาวน์โหลดมาใช้งานได้ฟรี เช่น Recuva หรือ TeskDisk เป็นต้น [11]

ทำอย่างไรหากฮาร์ดดิสก์จมน้ำ
หาก ฮาร์ดดิสก์จมน้ำ ไม่ว่าฮาร์ดดิสก์จะเสียหายอย่างไรก็ตามยังพอมีโอกาสที่จะกู้ข้อมูลได้ การกู้ข้อมูลจากฮาร์ดดิสก์ที่มีความเสียหายทางกายภาพนั้นไม่สามารถทำได้ด้วย ตนเองแต่สามารถขอความช่วยเหลือในการกู้ข้อมูล จากผู้เชี่ยวชาญได้ข้อแนะนำในการปฏิบัติในการเก็บ และจัดส่งฮาร์ดดิสก์ให้กับบริษัทที่ให้บริการ กู้ข้อมูล มีดังนี้

ฮาร์ดดิสก์แบบจานแม่เหล็ก
ไม่ควรทำการกู้ข้อมูลด้วยตนเองโดยเด็ดขาด เพราะเมื่อฮาร์ดดิสก์จมน้ำหัวอ่านอาจจะไปติดอยู่กับจานข้อมูล ถ้าจ่ายไฟเข้าไปจะเกิดการหมุนของหัวอ่านซึ่งอาจจะไปขูดกับจานข้อมูลทำให้ฮาร์ดดิสก์เสียหายถาวรได้
อย่าทำให้ฮาร์ดดิสก์แห้ง เพราะเมื่อฮาร์ดดิสก์แห้งจะเกิดคราบและเศษฝุ่นเกาะติดอยู่ที่จาน หรือหัวอ่านได้
อย่าทำให้ฮาร์ดดิสก์สั่น สะเทือน เนื่องจากหัวอ่านอาจจะขูดกับแผ่นจาน ทำให้ฮาร์ดดิสก์เสียหายได้
ทำให้ฮาร์ดดิสก์อยู่ในสภาพที่จมน้ำแบบที่ยังคงเป็นอยู่โดยอาจจะนำฮาร์ดดิสก์ใส่ในภาชนะที่ปิดมิดชิด เช่น กล่องโฟม หรือ กล่องใส่อาหาร แล้วส่งให้กับผู้เชี่ยวชาญเพื่อทำการกู้ข้อมูลต่อไป [13]

ฮาร์ดดิสก์แบบ Solid-state
สำหรับ ฮาร์ดดิสก์แบบ Solid-state (หรือ Flash drive) เนื่องจากเป็นแผงวงจร จึงสามารถทนทานต่อการจมน้ำได้บ้าง หากฮาร์ดดิสก์ถูกน้ำควรรีบนำฮาร์ดดิสก์ออกมาทำให้แห้งโดยเร็วด้วยการใช้ พัดลมเป่า ไม่ควรใช้ไดรเป่าผมหรือนำไปตากแดด จากนั้นเมื่อแน่ใจว่าฮาร์ดดิสก์แห้งสนิทแล้ว สามารถนำไปใช้งานต่อได้ แต่หากฮาร์ดดิสก์จมน้ำเป็นเวลานาน มีโอกาสที่จะทำให้แผงวงจรหรืออุปกรณ์ภายในขึ้นสนิมได้ ควรรีบทำให้แห้งแล้วส่งไปยังศูนย์กู้ข้อมูลเพื่อให้ผู้เชี่ยวชาญดำเนิน
การ ต่อไป [14]

การกู้ข้อมูลจากฮาร์ดดิสก์ที่ ถูกลบหรือเขียนข้อมูลทับ
หากฮาร์ดดิสก์ไม่ได้เสียหายทางกายภาพแต่ข้อมูลสูญหายเนื่องจากอุบัติเหตุในระหว่างการใช้งาน เช่น การเผลอลบไฟล์เอกสารสำคัญ หรือฮาร์ดดิสก์ถูก Format ยังสามารถใช้ซอฟต์แวร์ทำการกู้ข้อมูลได้ เนื่องจากเมื่อระบบทำการลบไฟล์ จะไม่ลบข้อมูลจริงทิ้งแต่จะลบส่วนที่เป็นการอ้างอิงตำแหน่ง (Index) ของข้อมูลแทน หมายความว่า “ชื่อ” ที่ใช้ในการอ้างอิงตำแหน่งของข้อมูลนั้นจะหายไป แต่ตัวข้อมูลยังคงอยู่ เมื่อฮาร์ดดิสก์แบบแม่เหล็กเขียนข้อมูลจะไม่ได้เปลี่ยนข้อมูลของบิทจาก0 เป็น 1 หรือ 1 เป็น 0 เป๊ะๆ แต่จะมีการเหลื่อมอยู่บ้าง
ถ้าสามารถอ่านข้อมูลดิบที่อยู่บนดิสก์แล้วทำการวิเคราะห์รูปแบบ (Pattern) ของการเปลี่ยนค่าจาก 0 เป็น 1 หรือ 1 เป็น 0 ได้ จะสามารถรู้ว่า ข้อมูลตรงส่วนนี้เคยมีค่าเป็นอะไรมาก่อน
นอกจากนี้ยังสามารถใช้กล้องสแกนแถบแม่เหล็กในฮาร์ดดิสก์ เพื่อดูค่าการจัดเรียงของสนามแม่เหล็กในดิสก์ได้ [15] อย่างไรก็ตาม การทำลายข้อมูลบนฮาร์ดดิสก์นั้นก็ยังสามารถทำได้อยู่ จากการวิจัยพบว่า ถ้าเขียนทับข้อมูลนั้นมากกว่า 25 ครั้งจะไม่สามารถกู้ข้อมูลกลับคืนมาได้ [16] [17] [18]

การป้องกันข้อมูลสูญหาย
ในการป้องกันข้อมูลสูญหาย วิธีที่ดีที่สุดคือการสำรองข้อมูลอยู่อย่างสม่ำเสมอซึ่งการสำรองข้อมูลก็สามารถทำได้หลายวิธี เช่น ใช้การต่อฮาร์ดดิสก์แบบ RAID เพื่อสำรองข้อมูลไปยังฮาร์ดดิสก์อีกลูกหนึ่งโดยอัตโนมัติ หรือนำข้อมูลที่สำคัญไปฝากไว้กับผู้ให้บริการฝากข้อมูลบนอินเทอร์เน็ต

ข้อมูลเพิ่มเติม
* Data Remanence in Semiconductor Devices:
http://www.cypherpunks.to/~peter/usenix01.pdf

* List of data recovery software:
http://en.wikipedia.org/wiki/List_of_data_recovery_software
* Reliably Erasing Data From Flash-Based Solid State Drives:
http://www.usenix.org/events/fast11/tech/full_papers/Wei.pdf
* Redundant_array_of_independent_disks:
http://en.wikipedia.org/wiki/Redundant_array_of_independent_disks

อ้างอิง
1. http://en.wikipedia.org/wiki/Hard_drive
2. http://www.pcguide.com/ref/hdd/op/heads/op_Height.htm
3. http://en.wikipedia.org/wiki/Solid-state_drive
4. http://www.datarecovery.net/articles/solid-state-drive-architecture.html
5. http://en.wikipedia.org/wiki/Data_remanence
6. http://en.wikipedia.org/wiki/Data_loss
7. http://www.datarecovery.net/solid-state-drive-recovery.html
8. http://www.datarecoverytools.co.uk/2010/02/21/is-ssd-data-recovery-possible-and-different-from-hard-drive-data-recovery/
9. http://www.recovermyflashdrive.com/articles/how-flash-drives-fail
10. http://www.recovermyflashdrive.com/articles/5-things-you-should-know-about-flash-drives
11. http://en.wikipedia.org/wiki/Data_recovery
12. http://www.dataclinic.co.uk/advanced-data-recovery-water-damaged-hard-disk-drive.htm
13. http://www.storagesearch.com/disklabs-art3-floods.html
14. http://www.associatedcontent.com/article/2556459/how_to_salvage_a_usb_flash_drive_from.html
15. http://www.nber.org/sys-admin/overwritten-data-guttman.html
16. http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html

17. http://www.anti-forensics.com/disk-wiping-one-pass-is-enough
18. http://www.anti-forensics.com/disk-wiping-one-pass-is-enough-part-2-this-time-with-screenshots

กระบวนการ “ปฐมพยาบาลฮาร์ดดิสก์” จากเหตุการณ์น้ำท่วม
โดย ดร.ชาลี วรกุลพิพัฒน์

หลังจากเราสามารถเข้าไปในบ้านได้แล้ว อันดับแรกคือจะต้องตรวจสอบระดับน้ำที่ได้ท่วมได้บ้าน จากนั้นใช้อุปกรณ์ตรวจสอบสัญญาณไฟฟ้ารั่ว เช่น เป็ดเช็คไฟรั่ง ไม้เช็คไฟรั่ว หรืออุปกรณ์อื่นๆ เพื่อให้แน่ใจว่าไม่มีไฟฟ้ารั่วในบ้านของเรา
แต่เพื่อให้แน่ใจ ให้ปิดสะพานไฟ เพื่อป้องกันไม่ให้มีไฟฟ้ารั่วด้วย
ย้ายเครื่องคอมพิวเตอร์ที่ถูกน้ำท่วมไปยังบริเวณพื้นที่แห้ง
ข้อห้ามหากฮาร์ดดิสก์ถูกน้ำท่วม หรือแม้กระทั่งเคยถูกน้ำท่วม!!!
ห้ามลองเปิดให้เครื่องคอมพิวเตอร์ทำงาน หรือถอดฮาร์ดดิสก์ไปต่อกับคอมพิวเตอร์เครื่องอื่น
ห้ามแกะฝาครอบฮาร์ดดิสก์ออกมาทำความสะอาดด้วยตัวเอง
ห้ามทำให้ฮาร์ดดิสก์แห้งด้วยตนเอง อาจจะด้วยวิธีการเป่าแห้ง หรือแม้กระทั่งตั้งทิ้งไว้ให้แห้งเองก็ตาม
ถอดฮาร์ดดิสก์ออกจากเครื่องคอมพิวเตอร์แล้วให้นำใส่ถุงซิปทันที ถึงแม้ว่าฮาร์ดดิสก์จะยังคงเปียกอยู่ก็ตาม
ส่งฮาร์ดดิสก์ให้ศูนย์กู้ข้อมูลที่น่าเชื่อถือ และมีนโยบายการรักษาความลับของลูกค้า เพื่อป้องกันข้อมูลจากฮาร์ดดิสก์ของเราถูกขโมย โดยเฉพาะอย่างยิ่งหากข้อมูลของท่านเป็นความลับ
ท้ายที่สุด บทเรียนที่ได้จากเหตุการณ์น้ำท่วมนี้ ต้องไม่ลืมว่า เราจะต้องทำการสำรองข้อมูลอยู่สม่ำเสมอ อาจจะบันทึกลงในแผ่นซีดี ดีวีดี ฮาร์ดดิสก์ภายนอก หรือแม้กระทั่งไดร์ฟ USB ก็ตาม และจะต้องวางเครื่องคอมพิวเตอร์ สื่อบันทึกต่างๆ ในที่ที่ปลอดภัยจากน้ำท่วม หรืออาจจะหาถุงกันน้ำมาบรรจุสื่อบันทึกก็ได้

ข้อมูลบางส่วนอ้างอิงจาก http://www.idrlab.com/กู้ข้อมูลน้ำท่วม.html